[发明专利]一种基于CIS基准的Kubernetes安全加固系统及方法

权利要求书

1.一种基于CIS基准的Kubernetes安全加固系统，其特征在于，包括：

输入命令解析模块，用于解析输入的命令参数，确定加载对应的配置文件；

配置文件解析模块，用于解析CIS安全基准的配置文件；

自动安全扫描模块，用于根据解析的配置文件，执行扫描命令；

分片集中备份模块，用于将待加固的分片内容加密存储；

自动安全加固模块，用于根据分片集中备份模块的输出，执行加固命令；

分片集中校验模块，用于校验及解密待回退的分片内容；

自动安全回退模块，用于根据分片集中校验模块的输出，执行回退命令；

输出模块，用于集成输出运行结果；

所述自动安全扫描模块具体为：

根据解析的配置文件，执行扫描命令；

提取扫描结果中FAIL项ID及建议；

所述自动安全加固模块具体为：

输入节点类型、用户口令及待加固项；

加载对应节点类型的配置文件，提取待加固项信息；

利用输入的用户口令和PBKDF2算法产生mac密钥和AES密钥；

利用产生的AES密钥分别对每个待加固项加固前后的分片信息加密，利用产生的mac密钥计算mac值；

查找存储在宿主机的加固记录文件中是否存在相同的加固项，若存在，更新加固项；若不存在，新增加固记录；

对待加固项执行加固命令，提取关键信息；

所述自动安全回退模块具体为：

输入节点类型、加固时的用户口令，指定回退参数；

加载对应节点类型的配置文件，提取待回退项的信息；

利用输入的用户口令和PBKDF2算法产生自动加固时相同的mac密钥和AES密钥；

读取宿主机的加固记录文件，获取待回退项的加固记录；

利用产生的mac密钥逐个校验mac；

对校验mac通过的待回退项执行回退命令，提取关键信息。

2.根据权利要求1所述的基于CIS基准的Kubernetes安全加固系统，其特征在于，所述输入的命令参数包括：主节点、工作节点、扫描、加固、回退、密码口令参数和指定配置项。

3.根据权利要求1所述的基于CIS基准的Kubernetes安全加固系统，其特征在于，所述配置文件采用YAML格式按照CIS基准组织内容，包括配置项ID、扫描、加固需要的命令及基本描述。

4.根据权利要求1所述的基于CIS基准的Kubernetes安全加固系统，其特征在于，所述扫描命令、加固命令、回退命令均并行执行。

5.根据权利要求1所述的基于CIS基准的Kubernetes安全加固系统，其特征在于，所述输出模块输出的运行结果以YAML格式输出。

6.根据权利要求5所述的基于CIS基准的Kubernetes安全加固系统，其特征在于，输出的扫描命令运行结果和加固命令运行结果作为系统加载和解析的配置文件。

7.一种基于CIS基准的Kubernetes安全加固方法，其特征在于，包括：

输入命令参数，确定加载对应的配置文件；

解析配置文件；

执行自动安全扫描，输出扫描报告；

执行自动安全加固，输出自动加固报告；

执行自动安全回退，输出自动回退报告；

所述执行自动安全扫描具体为：

根据解析的配置文件，执行扫描命令；

提取扫描结果中FAIL项ID及建议；

所述执行自动安全加固具体为：

输入节点类型、用户口令及待加固项；

加载对应节点类型的配置文件，提取待加固项信息；

利用输入的用户口令和PBKDF2算法产生mac密钥和AES密钥；

利用产生的AES密钥分别对每个待加固项加固前后的分片信息加密，利用产生的mac密钥计算mac值；

查找存储在宿主机的加固记录文件中是否存在相同的加固项，若存在，更新加固项；若不存在，新增加固记录；

对待加固项执行加固命令，提取关键信息；

所述执行自动安全回退具体为：

输入节点类型、加固时的用户口令，指定回退参数；

加载对应节点类型的配置文件，提取待回退项的信息；

利用输入的用户口令和PBKDF2算法产生自动加固时相同的mac密钥和AES密钥；

读取宿主机的加固记录文件，获取待回退项的加固记录；

利用产生的mac密钥逐个校验mac；

对校验mac通过的待回退项执行回退命令，提取关键信息。